أربعة عشر يوماً امتلك فيها المهاجمون PeopleSoft
تُدير Oracle PeopleSoft بيانات الرواتب والموارد البشرية والمساعدات المالية وسلاسل التوريد لأكثر من 15,200 مؤسسة حول العالم، مع تركّز كثيف في الجامعات وأنظمة الرعاية الصحية والوكالات الحكومية في أمريكا الشمالية. في 10 يونيو 2026، أصدرت Oracle تحذيراً أمنياً طارئاً خارج دورة التحديثات الدورية لـCVE-2026-35273 — ثغرة تنفيذ أوامر عن بُعد غير مصادق عليها بدرجة حرجة CVSS 9.8. ما أغفله التحذير، وما أكده تقرير استخبارات التهديدات الصادر عن Mandiant في اليوم ذاته، هو أن النافذة كانت قد أُغلقت أمام أكثر من 100 مؤسسة: كان ShinyHunters داخل أنظمتهم منذ 27 مايو.
الفجوة التي امتدت أسبوعين بين الاستغلال الأول والإفصاح العلني ليست مجرد هامش زمني — إنها الواقع التشغيلي لجهات التهديد المتطورة في 2026. لم يحتج ShinyHunters (المُتتبَّع من قِبل Google Mandiant بوصفه UNC6240) إلى كود استغلال منشور أو أداة من الشبكة المظلمة. لقد اكتشفوا ثغرة zero-day في إحدى أكثر منصات المؤسسات ثراءً بالبيانات في السوق، وتحركوا أفقياً عبر مئات من أنظمة PeopleSoft، ونشروا السجلات المسروقة على موقع تسريب بياناتهم في 9 يونيو — قبل يوم واحد من صياغة تحذير Oracle.
الثغرة: ماذا يفعل CVE-2026-35273 فعلياً
وفقاً لتحليل Rapid7 للاستجابة الطارئة للتهديدات، يكمن CVE-2026-35273 في مكوّن Environment Management Hub من Oracle PeopleSoft PeopleTools، ويؤثر على الإصدارين 8.61 و8.62. تُصنَّف الثغرة بوصفها تزوير طلبات من جانب الخادم (SSRF) تُتيح تنفيذ أوامر عن بُعد دون مصادقة — لا بيانات اعتماد، ولا تفاعل مستخدم، مجرد وصول شبكي إلى نقطتَي HTTP محددتين: /PSEMHUB/hub و/PSIGW/HttpListeningConnector.
يعكس درجة CVSS 9.8 ما يجعل هذه الثغرة خطيرة بشكل استثنائي: ناقل الهجوم شبكي، والتعقيد منخفض، ولا تلزم أي امتيازات، ولا تُشترط أي إجراءات من المستخدم. يستطيع أي مهاجم يرى خادم PeopleSoft تنفيذ الأوامر بطلب HTTP واحد. على أنظمة Windows، يمكن أن تُجبر سلسلة SSRF الخادمَ على إنشاء اتصالات SMB صادرة إلى بنية تحتية يتحكم فيها المهاجم على منفذ TCP 445، مما يكشف بيانات اعتماد حسابات أجهزة Windows لتمكين الحركة الأفقية لاحقاً.
أفادت SecurityWeek بأن ShinyHunters ادّعى ربط CVE-2026-35273 بثغرات قديمة سبق ترقيعها لتوسيع سطح الاختراق عبر نحو 300 نسخة من PeopleSoft. وعبّر تحذير Oracle ذاته عن مستوى غير معتاد من الإلحاح: “نعتبر تطبيق إجراءات التخفيف الموصى بها تدبيراً عالي الأولوية لتقليل المخاطر، ونوصي بشدة باتخاذ إجراءات فورية.”
أسلوب عمل ShinyHunters: استهداف المنصات على نطاق واسع
هذه الحملة هي العملية الثالثة الكبرى لاستهداف البنية التحتية التي ينفّذها ShinyHunters في 18 شهراً. اخترقت حملة Snowflake عام 2024 مئات الملايين من السجلات لدى Ticketmaster وSantander Bank وعشرات المؤسسات الأخرى. واستهدفت عملية لاحقة Salesforce Experience Cloud. والآن PeopleSoft. يُحدد تحليل Black Kite للتهديدات النمط: يختار ShinyHunters منصات مؤسسية مُنتشرة على نطاق واسع، ويحدد مساراً حرجاً لتجاوز المصادقة أو تنفيذ الأوامر عن بُعد، ويُؤتمت الفحص الشامل لقاعدة التثبيت العالمية، ثم يُدرّ الأرباح من تسريب البيانات الناتجة عبر الابتزاز والضغط العلني.
ما يميّز حملة PeopleSoft هو اتساع فئات البيانات الحساسة داخل منصة واحدة: سجلات الطلاب، وصرف المساعدات المالية، وملفات الهجرة، وأرقام جوازات السفر، وبيانات الرواتب. أشارت SecurityAffairs إلى أن جامعة Nottingham وحدها تعرضت لكشف 455,000 سجل — أسماء وعناوين وأرقام جوازات سفر وبيانات عرقية — في واحدة من أكبر انتهاكات بيانات التعليم العالي في 2026. وكانت 68% من أكثر من 100 مؤسسة تلقّت إشعارات بالاختراق جامعاتٍ وكليات، معظمها في الولايات المتحدة.
اتبع السلوك ما بعد الاستغلال بروتوكولاً ثابتاً. نشر المهاجمون وكلاء إدارة عن بُعد عبر MeshCentral مُنكَّرة على هيئة خدمات Microsoft Azure، موجِّهين حركة القيادة والتحكم نحو azurenetfiles.net على المنفذ 443 — نطاق مُصمَّم ليندمج في بيئات المؤسسات القائمة على Azure. استخدم التحرك الأفقي نشر بيانات اعتماد SSH عبر سكريبتات shell خاصة بكل ضحية. جُمّعت البيانات بـzstd قبل تسريبها إلى خادم يتحكم فيه المهاجم. ونُفِّذت سلسلة الاختراق كاملة — من أول إصابة SSRF إلى نشر البيانات — في غضون أسبوعين.
إعلان
استجابة CISA وتفويض التصحيح الفيدرالي
في 12 يونيو 2026، أضافت CISA CVE-2026-35273 إلى كتالوج الثغرات المستغلة المعروفة (KEV)، مُفعِّلةً التوجيه التشغيلي الملزم 22-01 الذي يُلزم جميع الوكالات المدنية الفيدرالية الأمريكية بمعالجة الثغرات المُدرجة في كتالوج KEV ضمن مهلة محددة. خضعت الوكالات الفيدرالية التي تستخدم PeopleSoft لإدارة الموارد البشرية والشؤون المالية لجدول زمني عاجل للتصحيح.
يمتد أثر تصنيف KEV إلى ما هو أبعد من المحيط الفيدرالي. كل فريق أمن مؤسسي يرصد كتالوج CISA يعلم أن الإضافات إلى KEV تُشير إلى ثغرات مؤكدة ومسلّحة وقيد الاستغلال الفعلي. لم تعد المسألة “هل يمكن استغلال هذا؟” — بل “كم عدد المهاجمين الذين أوتمتوا الاستغلال بالفعل؟”
ما يجب على فرق الأمن وتقنية المعلومات فعله الآن
1. تطبيق التصحيح الطارئ فوراً — لا انتظار لنافذة الصيانة
أصدرت Oracle تصحيحاً مستقلاً لـCVE-2026-35273 في 10 يونيو 2026، خارج دورة التحديثات الأمنية الحرجة الفصلية المعتادة. هذا نادر؛ تُصدر Oracle تصحيحات طارئة فقط حين يُؤكَّد الاستغلال الفعلي وتكون خطورة الثغرة لا تُتيح أي هامش. يجب على المؤسسات التي تشغّل PeopleTools 8.61 أو 8.62 تطبيق هذا التصحيح دون انتظار نافذة الصيانة المجدولة التالية. إذا تعذّر التطبيق الفوري، عطِّل خدمة Environment Management Hub (PSEM) كإجراء مؤقت. يؤكد تحذير Oracle أن هذا يُضعف الوظائف دون أن يُعطّل وظائف HCM الجوهرية.
2. حجب نقطتَي الاتصال الضعيفتين على مستوى المحيط الشبكي
حتى الأنظمة المُرقَّعة تستفيد من الدفاع المتعدد الطبقات. احجب الوصول الخارجي إلى /PSEMHUB/* و/PSIGW/HttpListeningConnector على مستوى جدار الحماية التطبيقي أو موزع الحمل. أكد تقرير Rapid7 للاستجابة الطارئة أن جميع الاستغلال الأولي في حملة ShinyHunters مرّ عبر هاتين النقطتين. لا ينبغي لأيٍّ من هاتين النقطتين أن تكون متاحة من الإنترنت في أي نشر مُتصلّب لـPeopleSoft؛ إذا كانتا كذلك، فتلك هي المشكلة الجذرية التي جعلت zero-day قابلاً للاستغلال على نطاق واسع. راقب أيضاً اتصالات SMB الصادرة من خوادم PeopleSoft إلى مضيفين خارجيين على المنفذ TCP 445 — هذا هو القناة الجانبية لسرقة بيانات الاعتماد التي وثّقها Mandiant.
3. إجراء تقييم اختراق قبل إعلان النظام نظيفاً
يوقف التصحيح الاستغلال الجديد؛ لكنه لا يُخرج المهاجمين الموجودين بالفعل. نظراً لأن zero-day كان نشطاً من 27 مايو إلى 9 يونيو، يجب على أي مؤسسة شغّلت PeopleSoft 8.61 أو 8.62 متاحاً من الإنترنت خلال تلك الفترة أن تفترض استهدافها وتجري مطاردة تهديدات قبل استئناف العمليات الطبيعية. تشمل مؤشرات الاختراق المحددة: العمليات التي تُشغّل وكلاء MeshCentral مع C2 يشير إلى azurenetfiles.net، وسكريبتات shell مُسمّاة وفق الضحية في مجلدات temp، والأرشيفات المضغوطة بـzstd المُعدّة للتسريب، وملفات إعدادات WebLogic التي جرى الوصول إليها خارج جداول الصيانة.
4. مراجعة مورّدي الطرف الثالث ومقدمي الخدمات الذين يستخدمون PeopleSoft
من أخطر جوانب هذه الحملة البُعد الخاص بسلاسل التوريد. تُسنِد كثير من المؤسسات الكبرى معالجة الموارد البشرية أو إدارة المساعدات المالية أو الرواتب إلى شركات خدمات تشغّل PeopleSoft لصالح عدة عملاء. نسخة مورّد واحدة مخترقة يمكن أن تكشف بيانات موظفي عشرات المؤسسات التي لا تمتلك أي نشر مباشر لـPeopleSoft. يُحدد تحليل Black Kite ثلاثة مستويات من التعرض: العملاء المباشرون لـPeopleSoft، ومقدمو الخدمات الذين يستخدمونه لبيانات العملاء، والتعرضات عبر مورّدي المورّدين. اطلب فوراً تأكيداً مكتوباً من جميع مزودي الرواتب والموارد البشرية وERP بأنهم طبّقوا تصحيح CVE-2026-35273 وأجروا تقييم اختراق يغطي الفترة من 27 مايو إلى 9 يونيو.
الصورة الأكبر: منصات ERP هي الهدف الجديد لهجمات الابتزاز
يُمثّل هذا الحادث نقطة تحوّل ملحوظة في استهداف التهديدات للمؤسسات. خلال معظم عشرينيات القرن الحادي والعشرين، ركّزت عصابات برمجيات الفدية على نقاط النهاية وخوادم الملفات. تُشير حملات ShinyHunters خلال 2024-2026 إلى تحوّل مُتعمَّد نحو الطبقة التطبيقية لبنية المؤسسات التحتية: منصات SaaS وأنظمة ERP ومستودعات البيانات السحابية حيث تقطن البيانات عالية القيمة فعلاً.
تشترك PeopleSoft وSalesforce Experience Cloud وSnowflake في سمة واحدة: إنها أنظمة موثوق بها تقع خارج المحيط التقليدي لأمن نقاط النهاية، وتحظى بتدقيق أقل من فرق مطاردة التهديدات، وتحتفظ بفئات بيانات — رواتب وسجلات موارد بشرية ومساعدات طلابية وبيانات تعريف شخصية للعملاء — تُحقق أسعاراً مرتفعة في الأسواق الجنائية. بالنسبة لقادة الأمن، الدرس معماري: يجب أن يمتد نموذج التهديد الخاص بك إلى كل تطبيق يحتفظ ببيانات حساسة، ليس فقط نقاط النهاية التي تتصل به. ثغرة RCE بدرجة CVSS 9.8 تبقى دون تصحيح 14 يوماً لأنها مُصنَّفة بوصفها ثغرة “تطبيقية” لا “نظامية” هي إخفاق حوكمة بقدر ما هي إخفاق تقني.
الأسئلة الشائعة
ما هو CVE-2026-35273 ولماذا حصل على درجة CVSS 9.8؟
CVE-2026-35273 ثغرة تنفيذ أوامر عن بُعد غير مصادق عليها في Oracle PeopleSoft PeopleTools الإصدارين 8.61 و8.62، تحديداً في مكوّن Environment Management Hub. تحصل على درجة CVSS 9.8 — أعلى تقييم عملي — لأنها لا تتطلب أي مصادقة أو تفاعل مستخدم أو امتيازات خاصة: يستطيع أي مهاجم يمتلك وصولاً شبكياً لخادم PeopleSoft تنفيذ أوامر اعتباطية عبر طلب HTTP واحد. الهجوم كامل الأبعاد عن بُعد وقابل للاستغلال عبر حركة الويب القياسية، مما يجعله متاحاً للأدوات الآلية للفحص.
كم من الوقت ظلت المؤسسات مُعرَّضة قبل أن تُصدر Oracle تصحيحاً؟
بدأ ShinyHunters استغلال CVE-2026-35273 بوصفه zero-day في نحو 27 مايو 2026. نشرت Oracle تحذيرها الأمني الطارئ وأصدرت إجراءات التخفيف في 10 يونيو 2026 — فجوة تقارب 14 يوماً لم يتوفر خلالها أي إصلاح من المورّد ولا أي علم عام بالثغرة. أضافت CISA الثغرة إلى كتالوج الثغرات المستغلة المعروفة في 12 يونيو 2026. ينبغي للمؤسسات التي شغّلت إصدارات PeopleSoft الضعيفة بين 27 مايو و9 يونيو افتراض استهدافها وإجراء تقييم اختراق شامل.
لماذا شكّلت الجامعات 68% من ضحايا هذه الحملة؟
تُستهدف مؤسسات التعليم العالي بشكل غير متناسب في حملات PeopleSoft لأسباب متعددة ومتداخلة. كثيراً ما تستخدم الجامعات PeopleSoft لسجلات الطلاب وصرف المساعدات المالية والموارد البشرية والرواتب — مما يجعلها مستودعات لفئات بيانات متعددة عالية القيمة على منصة واحدة. وتميل أيضاً إلى امتلاك بصمات أكبر من PeopleSoft قابلة للوصول من الإنترنت، وفي كثير من الحالات دورات أقل نضجاً في إدارة التصحيحات مقارنةً بمؤسسات التمويل أو الرعاية الصحية المنظَّمة. يُوضح اختراق جامعة Nottingham الذي كشف أكثر من 455,000 سجل بما فيها أرقام جوازات السفر والبيانات العرقية مدى خطورة فئات البيانات المعرضة للخطر في مؤسسة واحدة.
المصادر والقراءات الإضافية
- والقراءات الإضافية
- الاستغلال النشط لـzero-day Oracle PeopleSoft CVE-2026-35273 — Rapid7 ETR
- Oracle تعالج ثغرة PeopleSoft وسط تقارير عن هجمات zero-day — SecurityWeek
- ثغرة RCE في Oracle PeopleSoft مستخدمة كـzero-day في حملة ShinyHunters — SecurityAffairs
- ShinyHunters يضرب Oracle PeopleSoft ومورّدوك قد يكونون مخترقين بالفعل — Black Kite
- CISA تضيف CVE-2026-35273 إلى كتالوج الثغرات المستغلة المعروفة — CISA
- تحذير أمني Oracle لـCVE-2026-35273 — Oracle
